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PROCEDE DE SECURISATION DE L'EXECUTION D'UN 
PROGRAMME CONTRE DES ATTAQUES PAR RAYONNEMENT OU 

AUTRES 

La presente invention concerne un procede et un dispositif de 
5 securisation d'un ensemble electronique mettant en oeuvre un programme a 
proteger. Plus preclsement, le procede vise d proposer une parade aux 
attaques par rayonnement, flash, lumlere, laser, glitch, ou autres ou plus 
g6neralement a toute attaque perturbant I'execution des instructions du 
programme. De telles attaques ont pour consequence de modifier des 
10 instructions a executer et pour r^sultat I'inexecution ou la mauvaise 
execution de certaines parties du programme. 

DOMAINE TECHNIQUE 

15 Lors de I'execution d'un programme, les attaques par exemple par 

laser, glitch ou rayonnement electromagnetique ont pour consequence de 
modifier les codes dinstructions executes par le processeur comme 
transformer un codop d'instructlon cjuelconque en codop OOh (BRSETO sur 
6805, NOP sur 8051 et AVR) : les instructions du programme sont 

20 remplacees par des instructions inoperantes. De ce fait, il en resulte une 
inexecution ou une execution irreguli^re de certaines parties du code, par 
exemple Texecutfon dMnstructions inoperantes au lieu et place d'une 
sequence .de traitement securitaire par exemple dans un systeme 
d'exploitation pour carte a puce. Les attaques peuvent perturber le 

25 fonctionnement du processeur et provoquer des sauts intempestifs dans la 
memoire programme. 

Le present demandeur a depose une demande de brevet frangais 
n**0016724 le 21 decembre 2000 portant sur un procede de securisation de 
Texecution d'un programme implante dans un module electronique a 

30 microprocesseur, ainsi que le module electronique et la carte a microcircuit 
assocles. La solution protegee dans ladite demande consiste a declencher 



A 



par intermittence des interruptions et derouter ainsi Texecution du 
programme pour parer a des attaques eventuelles, Cette solution permet de 
detecter et d'empecher les attaques par rayonnement avec une bonne 
probabilite. Cependant, certaines attaques peuvent ne pas etre revelees, en 
5 particulier si Tattaque a lieu brievement entre deux interruptions. 

Parmi les parades connues, une autre solution consrste a 
positionner des drapeaux dans un octet de la memoire RAM ^ intervalles 
reguliers et a verifier qu'^ un point precis du deroulement du loglclel tous les 
drapeaux devant etre positionries le sont effeotivement Toutefois la mise en 

10 place de cette parade est fastidieuse car il est necessaire d'aflouer des 
zones de memoire volatile specif iques et de rajouter les traitements dans le 
code ^ proteger partout ou cela est necessaire. De plus, les attaques de ce 
type devenant de plus en plus courte et precises, les solutions connues 
perdent en efficacite. D'une part, Tattaque peut etre suffisamment courte 

15 • pour que le posltionnement des drapeaux n'en soft pas affecte ; Texecution 
d'une partie du logiciel peut ainsi etre empechee de maniere totalement 
indecelable. D'autre part, le logiciel de verification des drapeaux peut etre 
lui-m§me perturbe, 

Un but de la pr§sente invention est de proposer une protection 

20 efflcace meme pour des attaques tres courtes. 

Un autre but de la presente invention est de proposer une solution 
susceptible d'etre implementee dans les composants actuels sans 
adaptation, peu consommatrice en ressources et ne diminuant pas les 
performances de Tensemble dans lequel elle est implementee, 

25 

RESUME DE ^INVENTION 

La pr§sente inventipn concerne un precede de securisation de 
30 Texecution -d'un programme dans un ensemble electronique comportant des 
moyens de traiternent de— f1nfonTTatfoTr"et"~d"es moyens de memonsation 
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d'informations caracterise en ce qu'il consiste S controler ('execution de 
chacuna des instructions d'au moins une portion dudit programme en 
effectuant lore de Texecution de ladite portion un calcul utilisant des valeurs 
predetermlnees, fonction de ou associees a chacune desdites instructions at 
eh domparant le resultat obtenu a une valeur precalculee. 

La presente invention concerne egalement un module electronlque 
dans lequel ledit proc6de est impl§mente, une carte comprenant ledit 
module, un programme permettant dMmplementer ledit precede. 

DESCRIPTION SOMMAIRE DES DESSINS 

D'autres buts, avantages et caracteristiques de T invention 
apparaTtront a (a lecture de (a description qui va suivre de la mise en oeuvre 
du precede selon rlnvention et d*un mode de realisation d'un ensemble 
electronique adapte pour cette mise en oeuvre, donnes a titre d'exemple non 
limitatif en reference aux dessins ci-annexes dans lesquels : 

-la figure 1 represente de maniere schematique un exemple da 

dispositif dans lequel ie procede selon la presente invention est 

implemente ; 

-la figure 2 est une legende pour Interpreter Tensemble des figures 3 
a 7 annexees : un rectangle a non grise representent une portion de 
code executee, un rectangle b grise une portion de code non 
executee. Les fleches c gris^es representent une attaque : leur 
longueur indique la duree de Tattaque ; leur positionnement indique 
la portion de code du programme attaquee. Le rectangle d a bords 
gras represente une detection d'anomalie. Le rectangle e grise clair 
a bords fins represente des donnees pre calculees. Uaccolade f 
represente la portee d'un pre-calcul. Le rectangle g a coins arrondls 
represente uhe adresse du code. Les rectangles h en perspective 
visualisent Tetat de la pile. Les larges fleches i grisees dont 
I'extremite en pointe prolonge le rectangle de base et les ellipses 



4 

grisees j representent des mecanismes materiels, les ellipses k non 
grisees a bord double representant des mecanismes logiciels, Les 
rectangles I en perspective a bords gras representent des 
mecanismes togiciels en pile ; 

-fa figure 3 est une representation schematique de Texecution d'un 
programme en Tabsence d'une attaque dans laquelle les etapes du 
precede de securisation selon une forme de realisation de la 
presente invention ont §te mises en evidence ; 
-la figure 4 est une representation schematique de rex6cution d'un 
programme en presence d'une attaque dans laquelle les etapes du 
procede de securisation selon la forme de realisation representee 
sur la figure 3 ont ete mises en evidence ; 

-la figure 5 est une representation schematique de I'execution d'un 
programme en Tabsence d'une attaque dans laquelle les etapes du 
procede de securisation selon une autre forme de realisation de la 
presente invention ont ete mises en evidence ; 
-la figure 6 est une representation schematique de Texecution d'un 
programme en presence d'une attaque dans laquelle les etapes du 
procede de securisation selon la forme de realisation representee 
sur la figure 5 ont ete mises en evidence ; 

-la figure 7 est une representation schematique de Texecution d'un 
programme en Tabsence d'une attaque dans laquelle les etapes du 
precede de securisation selon une variante de la forme de 
realisation representee sur la figure 5 ont ete mises en evidence. 

MANIERE DE REAUSER LMNVENTION 

Le procede selon Tinvention vise a securiser un ensemble 
electronique, et par exemple un objet portable tel qu'une carte ^ puce 
mettant en oeuvre- un programme. L'ensemble electronique compr^nd au 
mwrs^des^moyensnfeT^^ et des moyens de 
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memorisation tels qu'une memoire. Le programme a securiser est install^ 
dans la memoire, par exemple de type ROM (Read Only Memory) dudit 
ensemble. 

A titre d'exemple non limitatif, ('ensemble electronique decrit dans ce 
qui suit correspond a un systeme embarqu§ comprenant un module 
electronique 1 illustre sur la figure 1. De tels modules sont r6alis^s le plus 
souvent sous la forme d'un microcircuit Electronique int§gr§ monolitfiique, ou 
puce, qui une fois protege physiquement par tout moyesn connu peut etre 
monte sur un objet portatif tel que par exemple une carte ^ puce, carte § 
microcircuit ou circuit int§gre (carte d microprocesseur ...) ou autre utilisable 
dans divers domaines. 

Le module electronique 1 comprend un microprocesseur CPU 3 relie 
de fagon bidirectionnelle par un bus 5 interne a une memoire 7 non volatile 
de type ROM, EEPROM, Flash, FeRam ou autre contenant le programme 
PRO 9 a executer, une memoire 11 vive de type RAM, des moyens 13 I/O " 
d'entree/sortie pour communiquer avec I'exterieur, des moyens 15' 
d'§valuatlon tels qu'au moins un compteur COUNTER. 

Le precede selon I'invention consiste a s'assurer que le programme 
9 est ex6cut6 dans son integralite tel qu'il est implant§ dans la m§moire en 
verifiant que chaque instruction du flot d'execution est effectivement 
executee par le microprocesseur 3. 

Le procede selon I'invention consiste d contrdler I'exEcution de 
chacune des instructions d'au moins une portion dudit programme en 
effectuant lors de I'execution de ladite portion un calcul arithmetique utilisant 
des valeurs predeterminees, fonction de ou associees a chacune des 
instructions et en comparant le resultat obtenu a une valeur precalculee 
stockee dans lesdits moyens de memorisation. On entend par valeur 
predetermines touts valeur ne dependant pas des caract§ristiques 
physiques du systdme dans lequel le precede est implements et des 
caracteristiques physiques de I'execution de ladite Instruction dans ce 
systeme. 
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La valeur pred^terminee fonctlon d'une instruction est par example 
une valeur fonction du contenu, du type, de la fonction, du r§sultat et/ou de 
toute autre caracteristique attachee a ladite instruction proprement dite. Le 
contenu d'une instruction est entendu au sens de tout element constituant 
5 ladite instruction, y compris le code operatoire et les parametres. Le type 
d'une instruction est entendu au sens d'une caracteristique de Tinstruction 
classant celle-ci dans une categorie particullere d'instructions. La fonction 
d'une instruction est entendue au sens de la fonction exercee par ladite 
instruction dans la portion de programme concernee. Le resultat d'une 

10 instruction est entendu de toute valeur obtenue par I'execution de ladite 
instruction s'il en existe une. 

Selon une forme de realisation selon la presente invention 
representee sur les figures 3 et 4, le procede consiste a effectuer pendant le 
fonctionnement du microprocesseur le calcul d'une somme de controle sur le 

15 contenu des instructions executees simultanement a leur execution et a 
verifier ta somme de controle calculee en la comparant a une valeur pre- 
calculee et inscrite en memoire. La valeur pre-calculee peut par exemple 
etre memorlsee dans le code proteg6 lors du developpement du programme 
correspondant. Une somme de controle, en anglais « checksum est une 

20 « somme » d'un ensemble de donn^es, a savoir une valeur calculee 
dependant du contenu desdites donnees, utilisee a des fins de verification. 

Un programme comprend de multiples tests conditionnels et appels 
de routine traduits en langage machine a Talde d'instructions de 
branchement, de saut, d'appel de routine ou equivalent, a savoir des 

25 instructions qui creent des embranchements dans le flot d'ex^cution. Dans le 
cas ou des tests conditionnels ou appels de routine ou retour d'appel se 
suivent, la section de code peut compter seulement quelques instructions 
avant Tembranchement suivant dans Tarborescence des chemins 
d'execution possibles. Dans le cas d'un saut a une autre routine, le point 
...30. d'entree de la. routine est susceptible d'etre.. attaint par. differents .chemins, 
Dansia-preserrte-hivention7-chaque-po^ 
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Equivalent dans le code du programme constitue le debut d'une nouvelle 
section de code pour le calcul de sommes de controle. 

Pour implementer un mecanisme/ de verification de sommes de 
controle, le precede selon la presente invention effectue un pre-calcul des 
sommes de controle sur chaque portion de code a proteger delimitee par 
des points d'entree ou de sortie ou des adresses de saut ou par des 
instructions de branchement ou de saut ou d'appel de routine ou de retour 
d'appel ou Equivalent Pour appliquer ledit procede a l^ensemble du code, 
comme le montrent les figures 3 et 4, la prEsente invention utilise up 
compilateur specifiquement adapte pour realiser la taclie de pre-calcu! des 
sommes da controle (accolade « somme de controle pre-calculee sur les 
figures 3 et 4 »). Le passage des sommes de contrdle pre-calcufees en 
parametre des instructions de fin de section de code exige des modifications 
importantes des compilateurs de type connu puisque le jeu d' instruction du 
processeur est modifie. 

La verification de la somme de controle peut etre effectuee par le 
processeur Pour cela, le procede selon la presente invention fournit au 
microprocesseur a la fin de chaque portion de code a proteger la somme de 
controle pre-calculee qui sera comparee (« Verification CKS » sur les figures 
1 et 2) a la somme de controle calculee par le processeur au fil de 
l^execution (« Calcule CKS » fig. 1 et 2). Cette valeur est fournie par 
exemple en parametre de Tinstruction de branchement ou de saut ou d'appel 
de routine ou de retour d'appel ou equivalent et/ou marquant la fin d'une 
portion de code a proteger ou d'une instruction marquant la fin d'une portion 
de code ^ proteger. Dans le cas d'une portion de code a proteger terminee 
par une adresse de saut, la verification de la somme de controle peut 
s'effectuer soit par une instruction specialement ajoutee dans le jeu 
d'instruction du processeur ou simplement en ajoutant une instruction de 
saut ihconditionnel k Tinstruction sulvante. 

La verification est effeotu6e pendant Tinstruction de fin de portion de 
code a proteger avec la valeur pre-calculee fournie en parametre. La somme 
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de contrdle calcul6e par le processeur au cours de l'ex6cution est 
reinitialisee pour la section de code suivante. Dans le cas ou la verification 
de la somme de contrdle revile une difference, une action est declench^e 
(« Detection anomalie sur la figure 4). 

La verification de la somme de controle pourrait egalement etre 
effectu^e par le logiciel sans modification du jeu d'instruction du processeur 
en comparant la valeur calcul^e par le processeur et la valeur pre-calculee. 
Dans ce cas, il n'est pas necessaire de modifier le jeu d'instructions du 
processeur pour passer la somme de contr6le pr§-calculee en parametre de 
I'instruction de fin de section de code a proteger. 11 sufnt que la somme de 
contrdle calcul§e par le processeur § I'ex^cution soit accessible au 
programme dans un registre ou autre. 

Cette methode peu consommatrice en ressources pr^sente 
I'avantage de foumir une protection integrate sur le code k ex§cuter 
comprenant non seulement le codop mais egalement les param^tres. 

Selon une autre forme de realisation du precede selon la pr6sente 
invention representee sur les figures 5 a 7, un compteur 15 est attribue a au 
moins une fonction, une sequence ou plus generalement a au moins une 
portion dudit programme, et selon une forme de realisation, a cheque 
portion, au debut de son execution. Une portion de programme comprend au 
moins une instruction. Dans la suite de la description, a titre iliustratif, la 
portion consid6r6e est une fonction. Le proc§d§ consiste a incr6menter ledit 
compteur par le processeur simultan^ment a Tex^cutron de chaque 
instruction de ladite fonction en cours d'une valeur specif ique a I'instruction 
executee. A la fin de la fonction. la valeur atteinte, r^sultat de la sequence 
d'instruction executee, est verif iee en comparaison ^ une valeur pr6-calculee 
lors du developpement du programme et inscrite dans le code protege. 

Le procede selon ladite forme de realisation est implementable sans 
ajout ou modification du jeu d'instruction du processeur. Le procede peut 

- §galement §tre mis en oeuvre sans, adaptation du. compjlateur. 

Au d6but de c h aque fonction , un compt e ur ost attribu e a -la fonction 



dans une structure de donnees qui peut etre (a pile du processeur Le 
compteur est initialise a 0 ou a une valeur fixee pour la fonction 
(« Initialisation compteur » sur les figures 5 a 7). Pour chaque instruction du 
corps de la fonction executee avant Tinstruction de retour d^appel, le 
5 compteur de la fonction est incremente d'une valeur specifique a ^instruction 
(« Calcule CF ou CP » sur les figures 5 a 7). A la fin de la fonction, la valeur 
atteinte par le compteur est comparee a la valeur attendue, pr6-calculee et 
utilisee comme valeur de reference dans le logiciel (« Comparaison CF » sur 
les figures 5 a 7). 

10 Comme le montre la figure 6, dans le cas ou une attaque aurait eu 

lieu au cours de la fonction, les instructions n'ont pas 6te executees selon la 
sequence prevue dans le programme et la valeur du compteur a la fin de la 
fonction (CFt=0x25 sur la figure 6) est differente de la valeur attendue et 
controlee (Valeur pre calculee VP=0x92 sur la figure 6) ; Tattaque est ainsi 

15 detectee (« Detection anomalie » sur la figure) et une action specifique est 
effectuee par le programme ou le processeur. Dans le cas ou la verification 
ne revelerait aucune anomalie, le compteur de la fonction est de-alloue dans 
la structure de donnee (sur la figure 5, le compteur CF1 est de-allou§). 

Le code d'une fonction est constitue de multiples tests conditionnels 

20 et appels de routine ou equivalents, a savoir d'instructions qui creent des 
embranchements dans le flot d'execution. De maniere k obtenir la meme 
valeur pour le compteur S la fin de la fonction quel que soit le chemin 
d'execution, il est necessaire d'equillbrer les differentes branches 
d'execution possible. 

25 La valeur d'incrementation du compteur pour une instruction peut 

etre le code machine de T instruction (code operatoire + valeur des 
parametres). Dans ce cas, le compte calcule sur les instructions executees 
correspond a une somme de controle calculee sur les instructions du flot 
d'execution appartenant a la fonction. Les Instructions executees dans les 

30 fonctions appelees sont prises en compte dans le compteur de ces fonctions 
et ne sont done pas prises en compte dans le compteur de la fonction 
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appelante. 

L'equilibrage de tous les chemins d'execution possibles dans la 
fonction doit etre realise pour obtenir la meme valeur du compteur a la fin de 
la fonction. Get equilibrage est compliqu6 du fait que les instructions ne sont 
pas interchangeables entre el les. II sera done souvent n^cessaire de 
rajouter une ou plusieurs instructions ayant unlquement pour but de 
reequilibrer une branche par rapport a une autre. Cette solution induit une 
augmentation plus ou moins importante de la taille du code du fait du 
reequilibrage des branches. 

Une autre solution consiste a d§finir des classes d'instructions pour 
lesquelles la valeur d'incrementation est la m§me. Ces classes ayant le 
meme Increment regroupent des instaictions similaires, par exemple la 
classe des branchements conditionnels, la classe des operations 
arithmetiques et logiques, la classe des sauts et appels de fonctions. 
L'instruction NOP aura une valeur d' increment 0 ; lors d'une attaque ayant 
pour effet de transformer les instructions du programme en NOP, le 
compteur ne sera pas incremente, ce qui aura pour effet de mettre en 
evidence I'attaque. Ce mecanisme permet de verifier que chaque instruction 
du chemin d'execution ^ I'interieur d'une fonction s' execute correctement. 

Le regroupement des instructions en classes avec la m^me valeur 
d'increment facilite l'equilibrage des branches : si chaque branche effectue 
des operations differentes mais similaires, il est possible qu'elles utilisent 
des instructions ayant des valeurs d'increment 6gales. De plus, il est 
possible d'equilibrer en employant des instructions differentes mais de la 
meme classe que celles utilisees dans une autre branche. Par exemple un 
branchement conditionnel dans une branche peut etre equillbre avec un 
branchement inconditionnel a l'instruction suivante dans une autre branche.. 
Les parametres des instructions ne sont pas pris en compte dans 
I'incrementation du compteur, ce qui contribue egalement a faciliter 
-l'equilibrage des branches.. L'equilibrage des branches peut egalement se 
fai r e pa r acces direct -atj-cempteuf-de-la-fQn ction dan s l e cas ou reeaft-sepat^ 
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important. 

La verification de la valeur du compteur de la fonction, effectuee a la 
sortie de la fonction ou lors de verifications intermediaires, peut se fairs de 
maniere logicieile en lisant la valeur du compteur de la fonction en cours, 
Incrementee par le processeur au cours de rex^cution, et en la comparant 
avec la valeur pre-calcul§e. Cette verification peut ^galement etre effectuee 
par le materiel en foumlssant au processeur la valeur de contrdle pre- 
calculee. Cette valeur peut dtre fournie en paramdtre d'une Instruction de 
retour d'appel modifiee ou d'une instruction sp§cifiquement ajoutee dans le 
jeu d'instruction du processeur. L'instruction effectue la verification en 
comparant la valeur pre-calcul§e fournie en argument a la valeur du 
compteur de ia fonction en cours. 

Les operations d'allocation du compteur de la fonction dans une 
structure de donnees et I'initiaiisation de ce compteur ^ 0 ou ^ une autre 
valeur specifique peuvent etre effectuees de maniere logicieile ou err 
materiel par le processeur dans une instruction d'appel de fonction modifiee. 

Selon une variante, le proc§d§^ consist© ^ initialiser au d^but de 
chaque routine un pointeur sur le compteur de la routine apr^s avoir 
sauvegard§ sa precedente valeur. En sortant de la routine, le pointeur est 
reinitialise a sa valeur precedente (I'adresse du compteur de la fonction 
appelante). Ce mecanisme permet de faire .des verifications intermediaires 
du compteur au cours de la routine et notamment avant une operation 
sensible. Si la valeur du compteur n'est pas la valeur attendue ^ ce point de 
I'execution de la routine, cela revdle que I'execution de la routine a ete 
perturbee. 

L'allocation du compteur de la fonction sur la pile du processeur 
presente un interet si celle-ci n'est utilisee que pour sauvegarder les 
adresses de retour et eventuellement certains registres lors des appels de 
fonction. Dans ce cas, le compteur rests sur le sonimet de la pile dans le 
corps de la fonction. ce qui dispense de maintenir par ailleurs un pointeur 
sur ce compteur dans le but d'effectuer des verifications au cours de la 
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routine. Dans un autre mode de realisation, les compteurs des routines 
peuvent etre alloues dans una structure de donnees diff^rente de la pile du 
processeur (pouvant etre une pile du compilateur) avec un moyen de 
retrouver le compteur de la routine en cours d'execution (pouvant etre un 
pointeur de pile). 

Un mode de realisation du procede illustre .sur la figure 7 consiste a 
utiliser un compteur global (CP sur la figure 7) du processeur pour r^aliser le 
comptage. Uincrementation au cours de I'execution des instructions est 
effectuee par le processeur dans ce compteur global (CP). Lors de chaque 
appel de fonction, la valeur du compteur global est ajout^e au compteur de 
la fonction appelante et reinitialise a 0 («Ajout CP a valeur en pile 
CF=CF+CP et remise a z§ro de CP » sur ia figure). Lors du retour d'une 
fonction, la valeur finale du compteur de la fonction est obtenue en ajoutant 
la valeur du compteur global avant la verification, puis le compteur global est 
reinitialisee a 0 pour la fonction appelante. 

Un des avantages du procede salon la forme de realisation illustree 
sur les figures 5 a 7, dit procede par compte de controle, reside dans le fait 
que le compte de controle est propre a chaque routine. Seules les 
instructions de la routine sont prises en compte, les routines appelees. et 
notamment les routines d'alea ou de desynchronisation ne sont pas prises 
en compte, ce qui simplifie le travail d'equilibrage des branches qui se llmite 
au corps de chaque routine. De plus, ii est possible de mettre en place le 
procede seulement dans les fonctions ou on I'estime necessaire, ce qui peut 
permettre de r6dulre encore Tampleur de la tache d'equilibrage, 

Le regroupement des instructions en classes avec la meme valeur 
d'increment facilite Tequilibrage des branches. Les parametres des 
instructions ne sont pas pris en compte dans T incrementation du compteur, 
ce qui contribue egalement a faciliter Tequilibrage des branches. 

Le procede peut etre implements sans modification du jeu 
-d'Instruction du processeur : il peut meme etre implemente sans rnQdifi.catipn_ 
~ du processeur do nc-surtas-proeessebrfs-aetttete 
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II est possible de faire la verification du compte de controle 
uniquement en fin de routine, ce qui limite i'accroissement de la taille du 
code. 
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REVENDICATIONS 

1- Procede de securisation de I'execution d'un programme dans un 
ensemble electronique comportant des moyens de traitement de 
r information et des moyens de memorisation d'informations caracterise en 
ce qu'il consiste a controler I'execution de chacune des instructions d'au 
moins une portion dudit programme en effectuant lors de I'execution de 
ladite portion un calcul utilisant des valeurs pred§termin§es, fonction de ou 
assocl6es ^ chacune desdites instructions et en comparant le .r§su!tat 
obtenu a une valeur precalcul6e. 

2- Proc4d6 selon la revendication 1 , caract6ris§ en ce les valeurs 
fonction de chacune desdites instructions sont des valeurs fonction du 
contenu, du type, de la fonction, du resultat et/ou de toute caracteristique 
attachee auxdites instructions proprement dites. 

3- Proc6de selon I'une des revendications 1 ou 2, caracterise en ce 
qu'il consiste a effectuer le calcul d'une somme de contrdle sur le contenu 
desdites instructions. 

4- Precede selon I'une des revendications 1 a 3, caracterise en ce 
qu'il consiste a definir des classes d'lnstructlons pour lesquels la valeur 
associee ^ chacune desdites instructions de ladite classe est identique. 

5- Module Electronique comportant des moyens de traitement de 
I'informatlon et des moyens de memorisation d'informations contenant un 
programme a executer caracterise en ce que les moyens de traitement 
comportent des moyens permettant de controler I'execution de chacune des 
instructions d'au moins une portion dudit programme en effectuant lors de 
I'execution de ladite portion un calcul utilisant des valeurs pr6d§tem{nees 
fonction de ou associ^es ^ chacune desdites rnstajctions et en comparant le 
resultat obtenu d une valeur precalculee. 
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6- Module selon la revendlcation 5, caract6ris6 en ce que lesdits 
moyens comprennent un processeur disposant d'instructions sp§cjales ou 
d'instructions de type connu modifiees permettant de prendre en compte la 
valeur precalculee pour chaque nouvelle portion de code et d'effectuer la 
comparaison. 

7- Module seion la revendlcation 5, caracteris6 en ce que le calcul 
effectue est mis a disposition d'un module logiciel realisant la comparaison. 

8- Module selon Tune des revendications 5 a 7, caract^rise en ce 
que lesdits moyens comprennent un compteur associe a ladite portion. 

9- Carte caracteris§e en ce qu'elle comprend le module §Iectronlque 
selon rune des revendications 5 a 8. 

1 0 - Programme d'ordinateur comprenant des instructions de code de 
programme pour rexecution des etapes du proc§d6 selon I'une des 
revendications 1 a 4 lorsque ledit programme est execute dans un ensemble 
6lectronique. 



16 

ABREGE 



Le proced6 selon la presents invention concerne un proced§ de 
securisation de ['execution d'un programme dans un ensemble electronique 
comportant des moyens de traitement de I'information et des moyens de 
memorisation d'informations. Le procede consiste a contrdler I'execution de 
chacune des instructions d'au moins une portion dudit programme en 
effectuant iors de Tex^cution de ladite portion un calcul utilisant des valours 
predeterminees, fonction de ou associees & chacune desdites instructions et 
en comparant le resultat obtenu a une valeur precalculee. 

La pr^sente invention concerne §galement le module Electronique 
dans lequel ledit procede est implements et la carte comprenant ledit 
module. 



Figure de I'abrege : Fig.3 




FIG.2 
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